Маппинг групп ldap-совместимого каталога на роли "Чтение", "Запись", "Владелец".

На текущий момент отсутствует возможность маппинга конкретных групп ldap-совместимого каталога на роли "Чтение", "Запись", "Владелец".
Целевая картина, которой хотелось бы достичь:
Есть общая группа в каталоге, например "testops_users", по ней все пользователи получают общесистемую роль Audit (только на чтение). У общей группы "testops_users" есть подгруппы по проектам "project1", "project2" и т.д. Внутри подгруппы, например "project1", существует разделение на еще ряд подгрупп по ролям внутри проекта: "project1_read", "project1_write", "project1_owner".
В ТестОпс хотелось бы получать общий доступ на чтение по назначению "testops_users", а доступ на выполнение действий под определенной ролью в проекте по назначению одной из ролей "project1_read", "project1_write", "project1_owner".